Privacy Policy
Diese Seite teilen

Umsetzung der neuen Datenschutzbestimmungen: Ein Praxisleitfaden

In einer Zeit, in der sensible personenbezogene Daten vorrangig digital verwaltet werden, müssen HR-Abteilungen und Personalberatungen einen starken Fokus auf das Thema Datenschutz legen. Ab Mai 2018 gilt die Datenschutznovelle (EU-DSGVO) der Europäischen Union (EU). Ab dann müssen die 28 EU-Staaten den neuen, verschärften Vorgaben ohne Wenn und Aber Rechnung tragen. Was zu beachten ist.

Datenschutz: Mehr Transparenz für den Verbraucher

Die Datenschutznovelle (EU-DSGVO) soll für mehr Transparenz bei EU-Bürgern sorgen: Wie gehen Unternehmen mit ihren persönlichen Daten um? Insofern betrifft die Gesetzesänderung HR-Abteilungen und Personalberater in besonderem Maße. In beiden Fällen gehört die Verwaltung digitalisierter personenbezogener Daten schließlich zum Tagesgeschäft.

Das ist auch kein Problem – vorausgesetzt, Personalabteilungen und Personalberatungen tragen dem neuen Gesetz angemessen Rechnung. Die gute Nachricht vorweg: Die Neuregelung bedeutet nicht nur zusätzliche Arbeit. Sie trägt auch zum Abbau von Bürokratiemonstern bei. Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen zum Beispiel. Das schmälert die damit verbundenen administrativen Vorgänge.

Die wichtigsten Punkte der Gesetzesnovelle im Überblick

Weitere wichtige Punkte der Gesetzesnovelle in aller Kürze:

  • EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet eine gestiegene Verantwortung und Haftung für alle Unternehmen und Abteilungen, die persönliche Daten verarbeiten.
  • Recht auf Vergessen: Wollen Nutzer, dass ihre Daten nicht weiterverarbeitet werden, müssen diese binnen eines Monats gelöscht werden.
  • Sollen persönliche Daten verarbeitet werden, müssen Nutzer aktiv zustimmen. Bisher mussten sie aktiv widersprechen.
  • Nutzer haben ein Recht auf Transparenz – sie dürfen auf Nachfrage erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden.
  • Teil der DSGVO ist, dass Unternehmen ein Datenregister erstellen. Enthalten darin müssen unter anderem sein: Verarbeitungsziel, Weitergabe der Daten an ein Drittland, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen, die Nennung der Kontaktdaten des Verantwortlichen.
  • Unternehmen müssen in einer Datenschutzerklärung darlegen, was sie mit den personenbezogenen Daten machen. Sie müssen Personen auch auf ihre Rechte hinweisen. Dazu gehört die Möglichkeit, Änderungen durchzuführen, Daten einzusehen oder löschen zu lassen.
  • Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 72 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen.
  • Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen – und zwar dort, wo sie ihren Hauptsitz haben.
  • Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben.
  • Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten.

Empfindliche Strafen bei Datenschutzverletzungen

Bei Missachtung der Datenschutzgesetzgebung fallen die Sanktionen nun deutlich schmerzhafter aus als bisher. War bislang ein maximaler Betrag von 900.000 Euro fällig, erhöht sich diese Summe ab Mai 2018 auf zwanzig Millionen Euro oder 4 Prozent des aktuellen Jahresumsatzes.

Umso fataler, dass viele KMU’s dem Thema Datenschutz noch nicht den nötigen Ernst beizumessen scheinen, wie Veritas Technologies, Marktführer im Information Management, in einer Studie konstatiert. Demnach sind lediglich zwei Prozent der befragten Unternehmen auf die neuen Datenschutzregeln vorbereitet.

Probleme gibt es vor allem beim Umgang mit Datenschutzverletzungen. Die meisten Unternehmen können nicht gewährleisten, den Verlust personenbezogener Daten innerhalb der vorgeschriebenen Frist zu melden. Auch das „Recht auf Vergessenwerden“, nach dem Verbraucher eine vollständige Löschung ihrer Daten einfordern können, kann nicht von jedem Unternehmen umgesetzt werden.

Was sollten Unternehmen jetzt tun?

Doch die Zeit drängt! Wie können Unternehmen in den verbleibenden Monaten bis zum Inkrafttreten der EU-DSGVO vorgehen? Hier gibt der Gesetzgeber bei der Risikobewertung Hilfestellungen. Er verlangt die Durchführung eines Privacy Impact Assessments, kurz PIA. Es schreibt zum Beispiel die Untersuchung der folgenden Prozesse vor:

  • Beinhaltet die unternehmenseigene Website eine Datenschutzerklärung, aus der hervorgeht, warum Daten angefragt werden, an welche mögliche dritte Parteien diese weitergeleitet werden und wie lange sie verarbeitet werden?
  • Holt das Unternehmen eine explizite Einwilligung der Person ein, deren Daten sie abfragt?
  • Ist zu jederzeit sichergestellt, dass nur Befugte zu personenbezogenen Daten Zugang haben?
  • Gibt es einen Verantwortlichen für den Datenschutz im Unternehmen?
  • Gibt es im Unternehmen eine Richtlinie bezüglich Aufbewahrung, Vernichtung oder Anonymisierung von Daten?
  • Ist das Unternehmen in der Lage, Daten von Kandidaten auf Anforderung direkt zu löschen?
  • Kann das Unternehmen Personen einen vollständigen Überblick über die von ihm gespeicherten Daten geben?

Die Ergebnisse des Assessments liefern direkte Hinweise, um hauseigene Prozesse und Systeme bezüglich der Compliance Anforderungen zu optimieren.

Sollten Sie weitere Informationen zum Umgang mit diesen Fragen wünschen, empfehlen wir Ihnen unser Whitepaper zum Thema „GDPR: Kümmern Sie sich um den Schutz Ihrer Daten!“.

Mehr Nachrichten